COMODO领衔全球SSL证书市场份额

在全球范围内,可以看到Comodo 目前占有最大的市场份额(25.2%),其次为GeoTrust(18.4%),紧接着为OpenSSL(14.5%)。而从市场的分布来看,虽然Comodo占据着最大的市场份额,但整个市场仍然具有多元化的。

SSL证书,COMODO,通配符证书,https认证

Alexa Top 1M网站中SSL的市场份额

数据来源:Datanyze

我们搜集了从2014年一月到2015年4月之间Comodo ,GeoTrust,OpenSSL以及Godaddy这四家公司的一年内的客户增量变化得到如下图:

SSL证书,COMODO,通配符证书,https认证

2014-2015年Comodo、GeoTrust、OpenSSL以及Godaddy四家公司的用户增量曲线图

数据来源:Datanyze

 

Comodo 的 客户增加量除了2014年的1月和6月为负值以外,即用户减少,全都为正值,即用户数持续的增加,并且2015年的开初有了一个巨大的增加。高达 574,101。总体看起来Comodo 2015年的客户增加量都超过了2014年。OpenSSL在2014年从1月起到6月间持续流失顾客,到到了2014的后半年后形势就发生了逆转,用户 持续的增加,也在2015年的1月达到了一个最大值。相比前两家的大起大落GeoTrust和Godaddy的用户增量就相对更加稳定。

 

SSL证书,COMODO,通配符证书,https认证

2015年3月 中国数字证书SSL市场份额

数据来源:Datanyze

相较于国际市场,中国数字证书的SSL证书市场的份额还是有所区别,中国市场上OpenSSL与Comodo并列第一位,其次为GeoTrust,Godaddy则在第五位。

然而,整个SSL证书市场可以预计增长远远超出目前使用有效的SSL证书的网站的20%。这不仅是因为加密成为不断增长的SaaS市场必不可少的,但也因为谷歌开始在他们的排名有利于HTTPS加密的网站,只要谷歌表示,网站管理员都会听。

原文地址:https://www.chinassl.net/ssl_industry_news/n562.html

OpenSSL 发布多个更新版本,修复 DoS 漏洞

OpenSSL 发布了更新版本 —— 1.0.2a, 1.0.1m, 1.0.0r 和 0.9.8zf ,这些版本主要是定位 12 个缺陷,但并非所有 OpenSSL 版本都受这些问题影响。

这 12 个漏洞中最严重的是 CVE-2015-0291 ,该漏洞可导致 DoS 拒绝服务攻击,这个漏洞只影响 OpenSSL 1.0.2 分支。

如果客户端连接到一个使用 OpenSSL 1.0.2 的服务器上,并使用无效的签名算法扩展进行再次协商,那么将会触发一个删除空指针的问题,详情请看 OpenSSL 项目的 安全建议

OpenSSL 项目成员 Mark Cox 在其博客解释到:攻击者可以利用这个漏洞来进行拒绝服务攻击。不过存在该漏洞的目标数量有限,因为 OpenSSL 1.0.2 刚发布一个月,很多服务器并没有使用这个版本。

OpenSSL 同时维护了多个不同的主要版本,OpenSSL 1.0.1 的用户如果不需要一些新特性的话,无需升级到 1.0.2 版本,因为 1.0.1 版本也在继续维护中。

Source: pcadvisor

相关链接

微软警告:非法SSL证书或引发“钓鱼”攻击

3月18日消息,最近,微软在TechNet上公布了一则对于非法发放的SSL证书警告,称该证书有可能引起攻击者采用欺骗内容执行钓鱼攻击或者“中间人”攻击。 该证书目前被发放到live.fi。

这一事件将影响包括Win7/Win8.1以及WP8.1在内的所有Windows系统。不过用户也不必担心,微软已经着手更新全部Windows操作系统的证书信任列表(CTL),目前该事件风险等级较低。

微软在其官方说明中提到:一项关于撤销证书的自动更新已经启动,涉及Windows Vista、Windows7、Windows8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2008和Windows Server 2008 R2、Windows Server 2012和Windows Server 2012 R2,以及所有运行Windows Phone 8和Windows Phone 8.1的手机设备。涉及这些系统和设备的用户无需主动采用任何防御措施,系统将被自动保护。SSL证书,chinassl

不过,这一事件仍然会有一个潜在威胁,那就是目前仍然运行Windows Server 2003的服务器或者已经关闭自动更新的系统。在这两种情况下,用户有可能会遭受攻击。这部分用户应该手动安装KB3046310补丁来预防严重事件发生。(Source:TechNet)

SSL证书在线自助申请-CHINASSL

1.登录中国证书CHINASSL官方网站https://www.chinassl.net,选择您需要的SSL证书产品

中国证书CHINASSL网站

2.下面以Comodo Positive SSL 证书为例,演示整个SSL证书够买流程。点击立刻够买

Comodo Positive SSL 证书

3.把您生成好的CSR文件粘贴到CSR文本框里面,输入您的域名管理员邮箱,点击添加到购物车

SSL证书在线够买流程

如果您还没有生成CSR文件,请点击CSR在线生成工具,生成CSR文件

注意:用户注意到在CHINASSL.NET够买证书会跳转到亚狐空间YAHUHOST,这里请不要担心,中国证书CHINASSL.NET是亚狐信息科技有限公司旗下网站,为了方便管理,所以使用了统一的客户管理系统,够买全程使用SSL加密,请放心够买。

4.信息确认无误后,点击结账

SSL证书在线够买流程

5.新客户填写用户资料,选择支付方式,点击完成订购;已有亚狐空间YAHUHOST帐号的用户,输入您的帐号密码后,点击完成订购

SSL证书在线够买流程

6.支付账单,关于支付方式详情见 在线支付 | 转账汇款

SSL证书在线够买流程

7.返回用户中心,点击导航菜单我的服务我的服务选项

SSL证书在线够买流程

8.点击证书后面的查看详情

SSL证书在线够买流程

9.点击进入SSL证书配置向导

SSL证书在线够买流程

10.填写完成所有信息,点击点此继续>>

SSL证书在线够买流程

11.确认系统识别出来的CSR信息与您申请证书的信息一致,并选择系统列出的有效证书审批者邮箱,点击点此继续>>

SSL证书在线够买流程

12.配置完成,看到此页面表明您的证书已经配置完成,稍后你的验证邮箱会收到一封来自证书颁发机构的邮件。

SSL证书在线够买流程

13.登录您的验证邮箱,检查是否收到来自证书颁发机构的邮件,收到后打开邮件,按说明点击邮件里面的链接即可完成验证。

SSL证书在线够买流程

14.复制验证代码,点击验证链接

SSL证书在线够买流程

15.粘贴验证代码,点击NEXT

SSL证书在线够买流程

16.出现Thank you页面表明已经完成验证,点击Close Window关闭该页面

SSL证书在线够买流程

至此证书已经成功够买并完成验证,域名型证书一般很快就可以签发。

查询证书

证书签发后去哪里可以查询到证书呢,这里有2种方式:

第一种

登录到你的够买邮箱(用于亚狐空间YAHUHOST登录用的邮箱)查询证书

SSL证书在线够买流程

第二种

1.登录亚狐空间YAHUHOST用户中心,点击导航菜单我的服务我的服务选项

SSL证书在线够买流程

2.点击证书后面的查看详情

SSL证书在线够买流程

3.把SSL证书与中级证书CA文件复制粘贴到文本编辑器里面,保存成后缀为.crt的文件即可使用了

SSL证书在线够买流程

其它在线工具

OpenSSL 1.0.1j 正式发布

OpenSSL 1.0.1j 发布,此版本现已提供下载,更新内容如下:

  • [高] SRTP Memory Leak (CVE-2014-3513)

  • [中] Session Ticket Memory Leak (CVE-2014-3567)

  • [中] SSL 3.0 Fallback protection

  • [低] Build option no-ssl3 is incomplete (CVE-2014-3568)

详情请看这里

OpenSSL包含一个命令行工具用来完成OpenSSL库中的所有功能,更好的是,它可能已经安装到你的系统中了。

OpenSSL是一个强大的安全套接字层密码库,Apache使用它加密HTTPS,OpenSSH使用它加密SSH,但是,你不应该只将其作为一个库来使用,它还是一个多用途的、跨平台的密码工具。

nginx 同一个IP上为多个域名配置安装SSL证书

最近公司域名更变,同时,又要新旧域名同时运行。 那么,对于https的域名在同一个IP上如何同时存在多个虚拟主机呢?遂,查看了下nginx手册,有这么一段内容,如下:

如果在同一个IP上配置多个HTTPS主机,会出现一个很普遍的问题:

server { listen 443; server_name www.abc.com; ssl on; ssl_certificate www.abc.com.crt; ... } server { listen 443; server_name www.123.com; ssl on; ssl_certificate www.123.com.crt; ... }

使用上面的配置,不论浏览器请求哪个主机,都只会收到默认主机www.abc.com的证书。这是由SSL协议本身的行为引起的——先建立SSL连接,再发送HTTP请求,所以nginx建立SSL连接时不知道所请求主机的名字,因此,它只会返回默认主机的证书。

最古老的也是最稳定的解决方法就是每个HTTPS主机使用不同的IP地址:

server { listen 192.168.1.1:443; server_name www.abc.com; ssl on; ssl_certificate www.abc.com.crt; ... } server { listen 192.168.1.2:443; server_name www.123.com; ssl on; ssl_certificate www.123.com.crt; ... }

那么,在同一个IP上,如何配置多个HTTPS主机呢?

nginx支持TLS协议的SNI扩展(Server Name Indication,简单地说这个扩展使得在同一个IP上可以以不同的证书serv不同的域名)。不过,SNI扩展还必须有客户端的支持,另外本地的OpenSSL必须支持它。

如果启用了SSL支持,nginx便会自动识别OpenSSL并启用SNI。是否启用SNI支持,是在编译时由当时的 ssl.h 决定的(SSL_CTRL_SET_TLSEXT_HOSTNAME),如果编译时使用的OpenSSL库支持SNI,则目标系统的OpenSSL库只要支持它就可以正常使用SNI了。

nginx在默认情况下是TLS SNI support disabled。

启用方法:

需要重新编译nginx并启用TLS。步骤如下:

# wget http://www.openssl.org/source/openssl-1.0.1e.tar.gz # tar zxvf openssl-1.0.1e.tar.gz # ./configure --prefix=/usr/local/nginx --with-http_ssl_module \ --with-openssl=./openssl-1.0.1e \ --with-openssl-opt="enable-tlsext" # make # make install

查看是否启用:

# /usr/local/nginx/sbin/nginx -V TLS SNI support enabled

这样就可以在 同一个IP上配置多个HTTPS主机了。

实例如下:

server { listen 443; server_name www.chinassl.net; index index.html index.htm index.php; root /data/wwwroot/www.chinassl.net/webroot; ssl on; ssl_certificate "/usr/local/nginx/conf/ssl/www.chinassl.net.public.cer"; ssl_certificate_key "/usr/local/nginx/conf/ssl/www.chinassl.net.private.key"; ...... } server { listen 443; server_name www.chinassl.net; index index.html index.htm index.php; root /data/wwwroot/www.chinassl.net/webroot; ssl on; ssl_certificate "/usr/local/nginx/conf/ssl/www.chinassl.net.public.cer"; ssl_certificate_key "/usr/local/nginx/conf/ssl/www.chinassl.net.private.key"; ...... }

这样访问每个虚拟主机都正常。

原文链接: http://www.ttlsa.com/html/4288.html

全球首款多域名通配符SSL证书

在了解什么是多域名通配符SSL证书(Multi-Domain Wildcard SSL)之前,首先給大家介绍多域名证书,也称为SAN证书或UCC证书,多域名证书详细说明如下:

多域名SAN/UCC SSL证书

SAN 证书 – Subject Alternative Name certificates 又称为 UCC 证书– Unified Communication Certificates.

SANs SSL证书允许您在同一张证书中,添加多个个需要保护的"域名"或"服务器"名。这种功能为客户提供了非常大的使用弹性,它使您可以创建一张易于使用和安 装,却又比通配符SSL 证书更安全,完全适合您服务器安全需求的SSL证书。

支持如:Microsoft Exchange Server 2003、Microsoft Exchange 2007 、Microsoft Exchange server2012和 Microsoft Office Communications Sever 2007之类的最新技术的安全应用。

多个顶级域名(FQDNS)

如果您的公司使用不同的顶级域名,如下面所示,可以选择多域名SAN/UCC SSL证书,只需一张证书就可以保护所有域名,安装管理更简单。

  • www.chinassl.net
  • mail.chinassl.net
  • www.中国证书.com
  • www.wantssl.com
  • login.wantssl.net

了解了多域名证书,我们再来了解什么是通配符证书Wildcard SSL,通配符证书详细解释见下面:

通配符Wildcard SSL证书

Wildcard SSL证书英文全称为Wildcard SSL Certificates。通配符 SSL证书可以同时保护一个域名下的所有的子域名网站,比如*.yourdomain.com,对子域名网站是没有数量限制,用户可以随时添加自己的子域名网站。

通配符SSL证书,能够为您获得和管理多个服务器证书时节约时间和费用。通配符 SSL 证书的安装服务器授权许可请查看产品特点,例如:

  • www.yourdomain.com
  • secure.yourdomain.com
  • product.yourdomain.com
  • info.yourdomain.com
  • download.yourdomain.com
  • anything.yourdomain.com

以上所有网站都可以在一张通配符Wildcard SSL证书的保护下,这样您就只需购买和安装一个颁发给 *.yourdomain.com 的通配符 SSL证书就可以为所有子域网站保安全了。

大家了解了什么是多域名证书,又了解了什么是通配符证书,哪到底什么是多域名通配符证书呢?顾名思义,多域名通配符SSL证书(Multi-Domain Wildcard SSL)就是通过技术将多域名证书和通配符证书融合到一起,创建的一种全新SSL证书,这种SSL证书同时支持多域名SAN和通配符Wildcard,这种全新型SSL证书就称为多域名通配符SSL证书(Multi-Domain Wildcard SSL)。

哪这种多域名通配符SSL证书有什么好处?中国证书小编給大家慢慢介绍。咱们还是举例说明下吧,如一个客户的网站同时有3个顶级域名,3个顶级域名每个域名还有很多2级域名,他想申请一张SSL证书可以同时支持3个顶级域名,还有支持下面的2级域名,麻烦来了,据小编了解目前现在市场上大多数SSL证书均无法实现这种功能,唯有全球领先SSL证书颁发机构COMODO率先打破这种僵局,全新推出Multi-Domain Wildcard SSL证书,解决了使用多张证书管理麻烦的难题。

如需详细了解该款全新SSL证书产品,请点击http://www.chinassl.net/comodo_multidomain_wildcard_ssl/

multi-domain-wildcard

comodo2

EV SSL证书与标准SSL证书的区别?

扩展验证EV SSL证书,英文名称为Extended Validation SSL Certificate,是普通SSL证书升级版,应用了普通SSL证书后,浏览器将会出现安全锁型标记,提示消费者网站采用了加密链接技术。而扩展验证EV SSL证书最显著区别特点是绿色地址栏,客户登陆网站时将更加清晰识别网站真实身份。而且在地址栏右侧还会动态显示企业名称和SSL证书签发机构信息,而欺诈钓鱼网站根本无从获得该类SSL证书。建议你们还是申请扩展验证EV SSL证书吧,现在公司一般也都申请扩展验证EV SSL证书了。

GeoTrust SSL证书主要有 5 种: QuickSSL Premium、True Business ID 、True BusinessID Wildcard 与 True Business ID with EV

 

aa

查询GeoTrust SSL证书全系列产品:http://www.chinassl.net/geotrust/

StartSSL免费SSL证书成功申请-HTTPS让访问网站更安全-转载

StartSSL免费SSL证书成功申请-HTTPS让访问网站更安全

免费SSL证书品牌StartSSL目前支持第一年免费,这是一款支持主流浏览器的免费SSL证书,虽然其加密效力是否能跟收费的SSL证书相比仍不得而知,但如果是个人站长或者仅用于SSL测试,该StartSSL证书足以,如果是企业正式部署SSL证书,建议购买收费的国际标准SSL证书http://www.chinassl.net/ssl_brand/

StartSSL是StartCom公司旗下的SSL证书,貌似是现在唯一一家提供免费SSL证书服务并且被主流浏览器支持的免费SSL,包括Chrome、Firefox、IE等浏览器都可以正常识别StartSSL,任何个人都可以从StartSSL中申请到免费一年的SSL证书。

StartSSL申请虽然要审核,但是一般十几分钟就会回复邮件了。而且经过部落的几次申请测试发现,StartSSL申请审核并不严格,如果遇到问题,你只要回复一封邮件过去回答邮件当中所提的问题,通过率几乎是100%。

使用StartSSL前必须先在自己的电脑上安装StartSSL证书,这个证书就是你用来登录和管理StartSSL申请到的SSL唯一凭证,没有了这个凭证就无法对已经申请的SSL进行管理和续期了,只能重新申请一个了,所以需要特别保存好。

StartSSL免费SSL证书成功申请-HTTPS让访问网站更安全

一、StartSSL个人证书登录申请

1、StartSSL官网:

  • 1、官方首页:http://www.startssl.com/
  • 2、控制面板:http://www.startssl.com/?app=12

2、第一次用StartSSL,先进入控制面板,先点击注册。

StartSSL点击注册

3、然后是填写你的个人基本信息,以部落的经验,主要地址填写详细,StartSSL会根据你的IP自动填入你所在的地址。

StartSSL填写个人信息

4、提交后你的邮箱会收到一个验证码。

StartSSL收到验证码

5、用这个验证码输入填写验证。

StartSSL通过验证

6、验证成功后,要么是等待人工审核开通,要么是直接提示下载个人操作证书。

StartSSL下载个人证书

二、通过StartSSL审核下载安装个人操作证书

1、一般情况下几分钟后就可以收到StartSSL审核通过的邮件了,没有通过的话会问你一些问题,随便回复一下就OK了。像部落是直接开通,提示让我下载证书。

StartSSL点击安装

2、点击安装,稍等几分钟就会自动在浏览器上安装StartSSL操作证书了。

3、部落用了是Chrome浏览器,提示安装成功。

StartSSL提示安装成功

4、安装好了个人操作证书后,就可以返回到控制面板,点击Authenticate凭证书登录了。

StartSSL管理登录

三、StartSSL免费SSL通过域名验证

1、上面是获得了StartSSL的个人操作登录使用权,接下来我们要用自己的域名来申请一个StartSSL免费SSL证书了。

2、点击Validations Wizard,选择Domain name validation,点击Continue。

StartSSL管理域名

3、输入你想要使用SSL的域名,点击继续。

StartSSL填入域名

4、接下来选择你的域名所有者的邮箱,如果你的域名设置了Whois保护,可能还要先进入域名注册商那里取消保护,否则无法使用域名管理员邮箱通过域名所有权验证。

StartSSL域名拥有者邮箱

5、提交了域名后,到邮箱中收取激活邮件,填入验证码,通过验证。

StartSSL激活码

四、申请StartSSL生成域名的SSL证书

1、上面已经提交了域名并通过了所有权验证,点击Certificates Wizard,选择WEB Server SSL/TSL Certifites。

StartSSL获取证书

2、生成私钥,为私钥提供一个密码,最少10位,最大32位。

StartSSL设置私钥密码

3、将显示内容保存为chinassl.key(这个私钥是加密的),继续点击下一步。

StartSSL保存代码

4、输入你要绑定的二级域名,一般是www。

StartSSL填写二级域名

5、提交后还得再等待StartSSL审核,一般是几分钟后就可以收到邮件通知。当然也有审核不通过的,例如部落的因为域名的关系,直接被拒绝了,只好换一个域名了。The domain s0su.com could be easily mistaken with the domain sosu.com in which case our policy doesn’t allow it to be issued. Sorry for the inconvenience!

6、这时进入Tool Box 点击 Retrieve Certificate,选择申请证书的域名,将框中的内容保存为.crt文件,这个就是域名证书了。

StartSSL得到免费证书

7、至此我们已经成功免费获取了StartSSL的免费SSL证书了。接下来的工作就是将它安装在VPS和有独立IP的虚拟主机上了。

五、StartSSL个人操作证书备份

1、在刚刚申请的过程中我们也看到了自己的浏览器已经安装上了StartSSL的个人操作证书,这个证书就是我们登录StartSSL的唯一凭证了。

2、假如我们想在其它的电脑上登录StartSSL,就需要将刚刚安装的证书导出来,然后安装在另一台电脑上就能使用了。

3、点击Chrome的“证书管理”,就能看到刚刚安装好的证书,点击导出即可。

StartSSL使用Chrome备份

4、这里部落还是推荐大家用Firefox的证书备份功能。

StartSSL查看证书

5、点击查看证书再使用备份就能将证书导出来了。

StartSSL导出来

6、导出来的证书就最好备份到网盘上或者邮箱当中,下次要用的时候再导入浏览器即可。

StartSSL重装安装

六、StartSSL成功申请小结

1、根据申请StartSSL的经验来看,StartSSL基本上任何个人都可以申请并使用,如果你在申请被拒绝,可以再一次换一个邮箱申请,成功率几乎是百分之百。

2、StartSSL免费SSL一年快到期时你可以用带了个人操作证书的PC上登录续期。所以,大家一定要好好保存好已经备份了个人操作证书,一旦丢了就不能登录StartSSL了。

通配符Wildcard SSL证书是否支持3级子域名?

所有品牌的通配符Wildcard SSL证书只能支持域名本身及下一级的所有子域名,而不是无限级支持子域名。

举例说明:

1. 用户为domain.com购买通配符Wildcard SSL证书 *.domain.com,该证书可以保护

mail.domain.com

login.domain.com

test.domain.com

vpn.domain.com

但该证书无法保护3级子yum.mail.doamin.com,对于该域名证书无效。

2. 如果一定要用于3级子域名,请为sub.domain.com购买通配符Wildcard SSL证书*.sub.domain.com.

中国证书CHINASSL原创,转载请注明出处

http://www.chinassl.net

http://www.中国证书.com